[发明专利]一种基于量子通信的终端安全接入网关方法、装置及系统

说明书

本发明公开了一种基于量子通信的终端安全接入网关方法，包括以下步骤：终端与接入网关进行初始化；终端与接入网关利用预置的数字身份证书进行身份认证，若认证通过，终端与接入网关建立安全隧道，接入网关建立安全缓冲区；终端与接入网关通过已建立的安全隧道进行基于量子密钥的身份认证；终端与接入网关再次利用数字身份证书进行身份认证，引入量子会话密钥建立量子安全加密隧道；业务应用通过量子安全加密隧道进行数据安全传输。本发明通过两次基于数字证书的身份认证和一次基于量子密钥的身份认证,增强了终端与接入网关的身份认证的安全；通过引入量子密钥参与VPN加密隧道计算，增强业务数据传输的安全性。

技术领域

本发明涉及量子通信技术领域种，尤其是一种基于量子通信的终端安全接入网关方法、装置及系统。

背景技术

随着智能终端以及移动互联网的飞速发展，电网企业生产、营销、调度等业务范围也在不断向移动终端进行扩展，通过国家电网安全接入平台的推广实施，外网移动终端已经具备安全接入电力信息内网的能力，但其安全认证基于复杂数学算法实现的非对称式加密体系，随着计算机技术的不断发展与数学基础算法研究的逐步深入，特别是具有强大并行计算能力的量子计算技术的出现，对现有的安全认证防护体系提出了挑战。

量子通信是利用量子态和量子纠缠效应进行信息或密钥传输的新型通信方式。基于量子力学原理能够在理论和协议层面提供无法窃听的绝对安全性保证。广义的量子通信包括量子密钥分发、量子隐形传态、量子密集编码、量子安全直接通信等。目前比较技术成熟的为量子密钥分发，量子密钥分发以量子态为信息载体，基于量子力学的海森堡测不准原理和量子不可克隆定理，通信收发双方通过量子信道共享密钥，是量子力学与密码学相结合的产物。量子密钥分发具有真随机性和绝对安全等特性，解决了对称密钥安全分发的难题，再结合“一次一密”加密技术可以对抗即将到来的量子计算暴力破解攻击。

发明内容

本发明的目的是提供一种基于量子通信的终端安全接入网关方法、装置及系统，实现量子通信技术与传统终端安全接入技术的无缝融合，增强了传统安全接入网关的安全性。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种基于量子通信的终端安全接入网关方法，包括以下步骤：

终端与接入网关进行初始化；

终端与接入网关利用预置的数字身份证书进行身份认证，若认证通过，终端与接入网关建立安全隧道，接入网关建立安全缓冲区；

终端与接入网关通过已建立的安全隧道进行基于量子密钥的身份认证；

终端与接入网关再次利用数字身份证书进行身份认证，引入量子会话密钥建立量子安全加密隧道；

业务应用通过量子安全加密隧道进行数据安全传输。

结合第一方面，在第一方面第一种可能的实现方式中，所述终端与接入网关进行初始化，具体包括：

终端与接入网关分别在专用设备中生成密钥对、证书请求、证书签发，以及量子密钥分发；

终端导入终端证书及网关证书、量子密钥；

接入网关导入网关证书及终端证书、量子密钥。

结合第一方面，在第一方面第二种可能的实现方式中，所述终端与接入网关利用预置的数字身份证书进行身份认证，若认证通过，终端与接入网关建立安全隧道，接入网关建立安全缓冲区，具体包括：

终端与接入网关通过预置的数字证书进行基于SSL协议的单向身份认证或双向身份认证，并建立VPN加密安全隧道，建立的安全隧道只允许访问指定服务和特定操作，接入网关创建内外网交互的安全缓冲区。

结合第一方面，在第一方面第三种可能的实现方式中，所述终端与接入网关通过已建立的安全隧道进行基于量子密钥的身份认证，具体包括：